天融信NGFW4000UF防火墙产品白皮书
天融信防火墙NGFW4000配置手册
天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式 (3)1.串口管理 (3)2.TELNET管理 (4)3.SSH管理 (5)4.WEB管理 (6)5.GUI管理 (6)二、命令行常用配置 (12)1.系统管理命令(SYSTEM) (12)命令 (12)功能 (12)WEBUI界面操作位置 (12)二级命令名 (12)V ERSION (12)系统版本信息 (12)系统>基本信息 (12)INFORMATION (12)当前设备状态信息 (12)系统>运行状态 (12)TIME (12)系统时钟管理 (12)系统>系统时间 (12)CONFIG (12)系统配置管理 (12)管理器工具栏“保存设定”按钮 (12)REBOOT (12)重新启动 (12)系统>系统重启 (12)SSHD (12)SSH服务管理命令 (12)系统>系统服务 (12)TELNETD (12)TELNET服务管理 (12)系统>系统服务命令 (12)HTTPD (12)HTTP服务管理命 (12)系统>系统服务令 (12)MONITORD (12)MONITOR (12)服务管理命令无 (12)2.网络配置命令(NETWORK) (13)4.定义对象命令(DEFINE) (13)5.包过滤命令(PF) (13)6.显示运行配置命令(SHOW_RUNNING) (13)7.保存配置命令(SAVE) (13)三、WEB界面常用配置 (14)1.系统管理配置 (14)A)系统> 基本信息 (14)B)系统> 运行状态 (14)C)系统> 配置维护 (15)D)系统> 系统服务 (15)E)系统> 开放服务 (16)F)系统> 系统重启 (16)2.网络接口、路由配置 (16)A)设置防火墙接口属性 (16)B)设置路由 (18)3.对象配置 (20)A)设置主机对象 (20)B)设置范围对象 (21)C)设置子网对象 (21)D)设置地址组 (21)E)自定义服务 (22)F)设置区域对象 (22)G)设置时间对象 (23)4.访问策略配置 (23)5.高可用性配置 (26)四、透明模式配置示例 (28)拓补结构: (28)1.用串口管理方式进入命令行 (28)2.配置接口属性 (28)3.配置VLAN (28)4.配置区域属性 (28)5.定义对象 (28)6.添加系统权限 (29)7.配置访问策略 (29)8.配置双机热备 (29)五、路由模式配置示例 (30)拓补结构: (30)1.用串口管理方式进入命令行 (30)2.配置接口属性 (30)3.配置路由 (30)4.配置区域属性 (30)5.配置主机对象 (30)6.配置访问策略 (30)一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过CONSOLE 口以命令行方式进行配置和管理。
天融信NGFW4000参数
防火墙技术附件一.背景目前,公司使用防火墙为CISCO PIX-525型防火墙,于2004年购买使用至今,已经使用了多年。
随着信息技术的迅猛发展,目前的防火墙从性能、功能、管理等方面的劣势逐渐显现出来。
二.目标为了更好提升公司网络安全和满足各种功能和性能的要求,需要更新现有防火墙系统。
对网络吞吐量、最大并发连接数、可扩展能力、访问控制能力、可靠性、抗攻击能力、日志审计功能、管理能力及VPN等功能提出了更高的要求。
三.功能要求(一)功能描述设备功能应包括以下几方面:接入方式、访问控制、地址转换、认证方式、链路备份、高可用性、抗攻击能力、日志审计功能、VPN功能、语音通讯功能。
(二)技术要求1.端口数量和扩展能力:满足4个光口和4个10/100/1000BASE-T接口。
2.网络吞吐量:不少于12Gbps3.最大并发连接数:不少于220万4.每秒最大新建连接数:不少于10万5.接入方式:可以提供对复杂环境的接入支持,包括路由、透明以及混合接入模式。
6.访问控制:a)支持基于源IP地址、目的IP地址、源端口、目的端口、时间、用户、文件、网址、关键字、邮件地址、脚本、MAC地址等多种方式进行访问控制;b)能够支持HTTP、SMTP、POP3、FTP等协议的深度过滤;c)动态端口支持协议H.323、SIP、FTP、RTSP、SQL*NET、MMS、TFTP、RPC等;d)支持对MSN,QQ等IM应用通信的连接统计,支持对指定IP地址的IM应用通信的连接统计;e)可屏蔽受保护主机/服务器系统信息,可以替换服务器(FTP、SMTP、POP3、Telnet、HTTP)的BANNER信息;f)可限制BT、eMule、eDonkey、讯雷等多种P2P应用,可以统计P2P流量和连接数,可以控制P2P流量的带宽;g)具有IP/MAC绑定功能。
h)支持MSN、QQ、新浪UC、阿里旺旺、google talk等Instant Messenger通信,并可以对于这些应用进行登陆限制,支持根据登陆等帐号进行登陆限制;7. 网络地址转换:有完善的地址转换能力,可以支持正向、反向地址/端口转换、双向地址转换等,能够提供完整的地址转换解决方案。
天融信防火墙NGFW4000快速配置手册
天融信防火墙NGFW4000快速配置手册一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。
通过 CONSOLE 口登录到网络卫士防火墙,可以对防火墙进行一些基本的设置。
用户在初次使用防火墙时,通常都会登录到防火墙更改出厂配置(接口、IP 地址等),使在不改变现有网络结构的情况下将防火墙接入网络中。
这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙:1)使用一条串口线(包含在出厂配件中),分别连接计算机的串口(这里假设使用 com1)和防火墙的CONSOLE 口。
2)选择开始 > 程序 > 附件 > 通讯 > 超级终端,系统提示输入新建连接的名称。
3)输入名称,这里假设名称为“TOPSEC”,点击“确定”后,提示选择使用的接口(假设使用 com1)。
4)设置 com1 口的属性,按照以下参数进行设置。
参数名称取值每秒位数:9600数据位:8奇偶校验:无停止位: 15)成功连接到防火墙后,超级终端界面会出现输入用户名/密码的提示,如下图。
6)输入系统默认的用户名:superman 和密码:talent,即可登录到网络卫士防火墙。
登录后,用户就可使用命令行方式对网络卫士防火墙进行配置管理。
2.TELNET管理TELNET管理也是命令行管理方式,要进行TELNET管理,必须进行以下设置:1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限2)在串口下用“system telnetd start”命令启动TELNET管理服务3)知道管理IP地址,或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP地址4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理:TELNET 192.168.1.2505)最后输入用户名和密码进行管理命令行如图:3.SSH管理SSH管理和TELNET基本一至,只不过SSH是加密的,我们用如下步骤管理:1)在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限2)在串口下用“system sshd start”命令启动TELNET管理服务3)知道管理IP地址,或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP地址4)然后用各种命令行客户端(如putty命令行)管理:192.168.1.2505)最后输入用户名和密码进行管理命令行如图:4.WEB管理1)防火墙在出厂时缺省已经配置有WEB界面管理权限,如果没有,可用“pf service add name webui area area_eth0 addressname any”命令添加。
天融信防火墙NGFW4000配置说明材料
天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式 (5)1.串口管理 (5)2.TELNET管理 (7)3.SSH管理 (8)4.WEB管理 (9)5.GUI管理 (10)二、命令行常用配置 (15)1.系统管理命令(SYSTEM) (16)命令 (16)功能 (16)WEBUI界面操作位置 (16)二级命令名 (16)V ERSION (16)系统版本信息 (16)系统>基本信息 (16)INFORMATION (16)当前设备状态信息 (16)系统>运行状态 (16)TIME (16)系统时钟管理 (16)系统>系统时间 (16)CONFIG (16)系统配置管理 (16)管理器工具栏“保存设定”按钮 (16)REBOOT (16)重新启动 (16)系统>系统重启 (16)SSHD (16)SSH服务管理命令 (16)系统>系统服务 (16)TELNETD (16)TELNET服务管理 (16)系统>系统服务命令 (16)HTTPD (16)HTTP服务管理命 (16)系统>系统服务令 (16)MONITORD (16)MONITOR (16)服务管理命令无 (16)2.网络配置命令(NETWORK) (16)3.双机热备命令(HA) (17)4.定义对象命令(DEFINE) (17)5.包过滤命令(PF) (18)6.显示运行配置命令(SHOW_RUNNING) (18)7.保存配置命令(SAVE) (18)三、WEB界面常用配置 (19)1.系统管理配置 (19)A)系统> 基本信息 (19)B)系统> 运行状态 (20)C)系统> 配置维护 (20)D)系统> 系统服务 (20)E)系统> 开放服务 (21)F)系统> 系统重启 (21)2.网络接口、路由配置 (21)A)设置防火墙接口属性 (21)B)设置路由 (24)3.对象配置 (26)A)设置主机对象 (26)B)设置范围对象 (27)C)设置子网对象 (27)D)设置地址组 (28)E)自定义服务 (29)F)设置区域对象 (29)G)设置时间对象 (30)4.访问策略配置 (31)5.高可用性配置 (35)四、透明模式配置示例 (36)拓补结构: (36)1.用串口管理方式进入命令行 (36)2.配置接口属性 (36)3.配置VLAN (37)4.配置区域属性 (37)5.定义对象 (37)6.添加系统权限 (37)7.配置访问策略 (37)8.配置双机热备 (38)五、路由模式配置示例 (39)拓补结构: (39)1.用串口管理方式进入命令行 (39)2.配置接口属性 (39)3.配置路由 (40)4.配置区域属性 (40)5.配置主机对象 (40)6.配置访问策略 (40)7.配置双机热备 (40)一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过CONSOLE 口以命令行方式进行配置和管理。
天融信防火墙NGFW4000配置手册【范本模板】
天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式 (4)1.串口管理 (4)2.TELNET管理 (5)3.SSH管理 (5)4.WEB管理 (6)5.GUI管理 (7)二、命令行常用配置 (12)1.系统管理命令(SYSTEM) (12)命令 (12)功能 (12)WEBUI界面操作位置 (12)二级命令名 (12)V ERSION (12)系统版本信息 (12)系统>基本信息 (12)INFORMATION (12)当前设备状态信息 (12)系统>运行状态 (12)TIME (12)系统时钟管理 (12)系统>系统时间 (12)CONFIG (12)系统配置管理 (12)管理器工具栏“保存设定”按钮 (12)REBOOT (12)重新启动 (12)系统>系统重启 (12)SSHD (12)SSH服务管理命令 (12)系统>系统服务 (12)TELNETD (12)TELNET服务管理 (12)系统>系统服务命令 (12)HTTPD (12)HTTP服务管理命 (12)系统>系统服务令 (12)MONITORD (12)MONITOR (12)服务管理命令无 (12)2.网络配置命令(NETWORK) (13)3.双机热备命令(HA) (13)4.定义对象命令(DEFINE) (13)5.包过滤命令(PF) (13)6.显示运行配置命令(SHOW_RUNNING) (13)7.保存配置命令(SAVE) (13)三、WEB界面常用配置 (14)1.系统管理配置 (14)A)系统〉基本信息 (14)B)系统〉运行状态 (14)C)系统> 配置维护 (15)D)系统> 系统服务 (15)E)系统〉开放服务 (16)F)系统〉系统重启 (16)2.网络接口、路由配置 (16)A)设置防火墙接口属性 (16)B)设置路由 (18)3.对象配置 (20)A)设置主机对象 (20)B)设置范围对象 (21)C)设置子网对象 (21)D)设置地址组 (21)E)自定义服务 (22)F)设置区域对象 (22)G)设置时间对象 (23)4.访问策略配置 (23)5.高可用性配置 (26)四、透明模式配置示例 (28)拓补结构: (28)1.用串口管理方式进入命令行 (28)2.配置接口属性 (28)3.配置VLAN (28)4.配置区域属性 (28)5.定义对象 (28)6.添加系统权限 (28)7.配置访问策略 (29)8.配置双机热备 (29)五、路由模式配置示例 (30)拓补结构: (30)1.用串口管理方式进入命令行 (30)2.配置接口属性 (30)3.配置路由 (30)4.配置区域属性 (30)5.配置主机对象 (30)6.配置访问策略 (30)7.配置双机热备 (31)一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。
天融信Topsec_NGFW系列防火墙介绍 22页PPT文档
模块 模块 模块
模块名称:SSLVPN的扩展内存;模块性能:升级1G内存;
模块名称:防病毒模块;模块性能:支持1000用户,包含两年升级服务;备 注 :到期 后可续缴服务;
模块名称:防病毒模块升级;模块性能:防病毒模块的1年升级服务
模块 模块名称:IDP扩展模块;模块性能:IPS性能>800Mbps,含1年IDP规则库license;
标配10个10/101BASE-T接口
内嵌OS类型和版本
控制台PC的OS平台为Windows;防火墙OS平台为TOS(Topsec Operating System),版本为v3.3。OS 的子版本号为v3.3.010,相应的编译器版本为v3.3。
吞吐量 最大并发连接数
双机热备
上网行为管理
网络吞吐量1G 最大并发连接数80万 支持
模块 模块 模块
模块名称:IPSECVPN-VRC-LICENCSE 模块性能:IPSEC VPN客户端
模块名称:SSLVPN模块;模块性能:用户数>3500,最大支持3500并发用户;备 注 :缺省5个SSLVPN的License; 模块名称:SSLVPN-VRC-LICENSE 模块性能:SSLVPN客户端
支持对p2p协议进行阻断和限制等功能,提供150多种应用程序识别,并实时在线更新识别库,支持对 于应用协议流量的年/月/日图表显示
网页过滤
支持web分类过滤功能。提供包括9个大类、87个小类、百万级别的url库,并支持手动、自动更新。
升级管理
原厂质保期 ISCCC获证级别
包括GUI、WEB界面、命令行界面等。支持远程集中管理功能。包括本地升级和远程在线升级;相同型 号、相同主版本的软件升级终身免费,升级内容包括产品主要版本的故障排除、版本维护、故障修复 、补丁、小版本升级
天融信防火墙NGFW4000配置介绍材料
天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式 (4)1.串口管理 (4)2.TELNET管理 (5)3.SSH管理 (5)4.WEB管理 (6)5.GUI管理 (7)二、命令行常用配置 (12)1.系统管理命令(SYSTEM) (12)命令 (12)功能 (12)WEBUI界面操作位置 (12)二级命令名 (12)V ERSION (12)系统版本信息 (12)系统>基本信息 (12)INFORMATION (12)当前设备状态信息 (12)系统>运行状态 (12)TIME (12)系统时钟管理 (12)系统>系统时间 (12)CONFIG (12)系统配置管理 (12)管理器工具栏“保存设定”按钮 (12)REBOOT (12)重新启动 (12)系统>系统重启 (12)SSHD (12)SSH服务管理命令 (12)系统>系统服务 (12)TELNETD (12)TELNET服务管理 (12)系统>系统服务命令 (12)HTTPD (12)HTTP服务管理命 (12)系统>系统服务令 (12)MONITORD (12)MONITOR (12)服务管理命令无 (12)2.网络配置命令(NETWORK) (13)3.双机热备命令(HA) (13)4.定义对象命令(DEFINE) (13)5.包过滤命令(PF) (13)6.显示运行配置命令(SHOW_RUNNING) (13)7.保存配置命令(SAVE) (13)三、WEB界面常用配置 (14)1.系统管理配置 (14)A)系统> 基本信息 (14)B)系统> 运行状态 (14)C)系统> 配置维护 (15)D)系统> 系统服务 (15)E)系统> 开放服务 (16)F)系统> 系统重启 (16)2.网络接口、路由配置 (16)A)设置防火墙接口属性 (16)B)设置路由 (18)3.对象配置 (20)A)设置主机对象 (20)B)设置范围对象 (21)C)设置子网对象 (21)D)设置地址组 (21)E)自定义服务 (22)F)设置区域对象 (22)G)设置时间对象 (23)4.访问策略配置 (23)5.高可用性配置 (26)四、透明模式配置示例 (28)拓补结构: (28)1.用串口管理方式进入命令行 (28)2.配置接口属性 (28)3.配置VLAN (28)4.配置区域属性 (28)5.定义对象 (28)6.添加系统权限 (29)7.配置访问策略 (29)8.配置双机热备 (29)五、路由模式配置示例 (30)拓补结构: (30)1.用串口管理方式进入命令行 (30)2.配置接口属性 (30)3.配置路由 (30)4.配置区域属性 (30)5.配置主机对象 (30)6.配置访问策略 (30)7.配置双机热备 (31)一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。
天融信NGFW4000-UF-l-m防火墙
支持主备、负载均衡及连接保护,支持服务器的负载均衡,提供轮询、加权轮询、最少连接、加权最少连接、源/目的地址HASH等多种负载均衡方式
支持非法报文攻击防护(如land、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof等等)与统计型报文攻击防护(如Synflood、Icmpflood、Udpflood、Portscan、ipsweep)
网络防火墙预算价格¥98500
参数要求
采用专用硬件架构与专用安全操作系统,基于操作系统内核的完全检测技术;专用的双安全操作系统具有自主知识产权(提供截图)。
6个10/100/1000M自适应电口,4个千兆光口,最大配置22个接口
性能参数要求
防火墙吞吐量≥8Gbps
最大并发连接≥350万
每秒新建连接≥6万
★支持路由的反向路径查询功能,以防止基于源地址欺骗的网络攻击行为;(需提供截图证明,加盖厂商公章)
反垃圾邮件需支持设置黑名单、白名单、灰名单。
采用基于访问控制策略的一体化带宽管理模式,能够针对用户、用户组、IP、MAC、时间、应用等进行带宽管理,并且支持共享策略、独享策略、访问控制独享策略等多种带宽策略类型,要求支持基于COS、DSCP方式的数据标识;(需提供截图证明,加盖厂商公章)
支持端口镜像功能,要求能够基于IP、网络协议等条件对镜像流量进行过滤,并且支持入方向、出方向及双向流量镜像
至少支持4路ADSL拨号接入,多ADSL链路能够基于ECMP、WCMP进行路由均衡,能够针对每条ADSL链路单独设置保证带宽;(需提供截图证明,加盖厂商公章)
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
天融信产品白皮书网络卫士防火墙NGFW 4000UF系列NGFW4000-UF是网络卫士防火墙系统的中高端产品,适用于网络结构复杂、应用丰富、政府、金融、学校、中小型企业等各种网络环境。
是国内应用最广、部署量最大的防火墙产品之一,也是国内率先支持防病毒和SSL VPN功能的防火墙产品。
此产品基于天融信自主设计的专用硬件平台,采用开放性的系统架构及模块化的设计思想,具备超强的接口扩展能力,极高的性价比。
安全高效的TOS操作系统具有完全自主知识产权的TOS(TopsecOperating System)安全操作系统,采用全模块化设计,使用中间层理念,减少了系统对硬件的依赖性,有效保障了防火墙、SSL VPN、IPSEC VPN、防病毒、内容过滤、抗攻击、带宽管理等功能模块的优异性能。
TOS良好的扩展性为未来迅速扩展更多特性提供了无限可能。
集成多种安全引擎:FIREWALL+IPSEC+SSL+ANTIVIRUS+IPS基于专有硬件平台的NGFW4000-UF产品采用TOS操作系统,集成了丰富的安全引擎,包括:防火墙引擎,IPSesVPN引擎,SSLVPN引擎,防病毒引擎,IPS引擎等。
这些引擎的紧密集成使得NGFW4000-UF成为了可以防范多种威胁、功能丰富的防火墙产品。
完全内容检测CCI技术网络卫士猎豹防火墙采用最新的CCI技术,提供对OSI网络模型所有层次上的网络威胁的实时保护。
网络卫士系列防火墙可对还原出来的应用层对象(如文件、网页、邮件等)进行病毒查杀,并可检查是否存在不良WEB内容、垃圾邮件、间谍软件和网络钓鱼欺骗等其他威胁,实现彻底防范。
超强的接口扩展能力最大配置为26个接口,包括3个可插拔的扩展槽和2个10/100/1000BASE-T接口(可作为HA口和管理口);可支持8~24个千兆接口(光口或电口)。
集成多种安全功能NGFW4000-UF由于集成了多种安全引擎,使其具备了防火墙、IPSEC VPN、SSL VPN、防病毒、IPS等安全功能,成为了国内安全功能最丰富的防火墙产品。
虚拟防火墙虚拟防火墙,是指在一台物理防火墙上可以存在多套虚拟系统,每套虚拟系统在逻辑上都相互独立,具有独立的用户与访问控制系统。
不同的企业或不同的部门可以共用1台防火墙,但使用不同的虚拟系统。
对于用户来说,就像是使用独立的防火墙,大大节省了成本。
强大的应用控制网络卫士防火墙提供了强大的网络应用控制功能。
用户可以轻松的针对一些典型网络应用,如MSN,QQ、Skype、新浪UC、阿里旺旺、Google Talk等即时通信应用,以及BT、Edonkey、Emule、讯雷等p2p应用实行灵活的访问控制策略,如禁止、限时、乃至流量控制。
网络卫士防火墙还提供了定制功能,可以对用户所关心的网络应用进行全面控制。
CleanVPN服务企业对VPN应用越来越普及,但是当企业员工或合作伙伴通过各种VPN远程访问企业网络时,病毒、蠕虫、木马、恶意代码等有害数据有可能通过VPN隧道从远程PC或网络传递进来,这种威胁的传播方式极具隐蔽性,很难防范。
网络卫士防火墙同时具备防火墙、VPN、防病毒和内容过滤等功能,并且各功能相互融合,能够对VPN数据进行检查,拦截病毒、蠕虫、木马、恶意代码等有害数据,彻底保证了VPN通信的安全,为用户提供放心的CleanVPN服务。
Active/Active高可用性能够在核心网络中同所有网络设备一起构建高可用性及高安全性的拓扑结构,自身能够实现A/A部署和状态同步,能够实现动态的链路切换,同时提供了电源冗余功能,最大限度地满足了网络的健壮性及稳定性,保证了整个网络的不间断工作。
灵活的接入方式防火墙系统可以提供对复杂环境的接入支持,包括路由、透明以及混合接入模式。
强大的访问控制●支持基于源IP地址、目的IP地址、源端口、目的端口、时间、用户、文件、网址、关键字、邮件地址、脚本、MAC地址等多种方式进行访问控制;●支持对HTTP、SMTP、POP3、FTP等协议的深度内容过滤,支持URL、关键字过滤;●支持对移动代码如Java applet、Active-X、VBScript、Jscript、Javascript的过滤;●动态端口支持协议:H.323、SIP、FTP、RTSP、SQL*NET、MMS、TFTP、RPC(msrpc,dcerpc)等;●可实现静态或自动的IP/MAC绑定;●支持MSN、QQ、新浪UC、阿里旺旺、google talk等Instant Messenger通信,并可以对于这些应用进行登陆限制,支持根据登陆等帐号进行登陆限制;●支持对MSN,QQ等IM应用通信的连接统计,支持对指定IP地址的IM应用通信的连接统计;●可限制BT,eMule,eDonkey、讯雷等多种P2P应用,可以统计和控制P2P流量和连接数;●可屏蔽受保护主机/服务器系统信息,可以替换服务器(FTP、SMTP、POP3、Telnet,HTTP)的BANNER信息;●可以实现telnet、DNS等应用协议的深度过滤;●支持HTTP 重定向功能,可以对伪装HTTP的协议进行识别和阻断。
完善的网络地址转换能力防火墙系统有完善的地址转换能力,可以支持正向、反向地址/端口转换、双向地址转换等,能够提供完整的地址转换解决方案。
多种身份认证方式防火墙系统要支持多种、灵活的身份认证技术,至少包括Radius/OTP/LDAP/TACACS+/SecuID/数字证书/本地认证等。
完善的路由功能支持静态和动态路由,动态路由至少包括:BGP/RIP和OSPF动态路由协议;静态路由协议支持基于源地址、目的地址、METRIC值、网络接口的路由;VLAN和生成树支持802.1d生成树,能进行802.1d的生成树协商;支持与交换机的Trunk接口对接,并且能够实现Vlan间通过防火墙设备进行路由;支持802.1q,能进行802.1q的封装和解封装;支持ISL,能进行ISL的封装和解封装;在同一个Vlan内能进行二层交换。
链路备份支持链路备份功能,可以在用户的多条网络出口之间进行自动的切换;高可用性●支持双机热备功能,包括主备模式(A/S),主主模式(A/A)●支持VRRP协议;●支持对服务器的负载均衡,支持轮询、加权轮询、最少连接、加权最少链接、基于源IP地址HASH调度等多种负载均衡方式;●防火墙系统要对长连接的提供全面的解决方案;●支持链路聚合;DHCP功能支持DHCP SERVER/CLIENT/RELAY功能强大的抗攻击能力●支持OPSEC或TOPSEC等类似联动协议,能够与主流入侵检测产品进行联动;●可以识别并阻断以下攻击行为:防非法报文攻击:land 、Smurf、Pingofdeath、winnuke 、tcp_sscan、ip_option、teardrop、targa3、ipspoof;防统计型报文攻击:Synflood、Icmpflood、Udpflood、Portscan、ipsweep;●端口阻断:可以根据数据包的来源和数据包的特征进行阻断设置;●CC攻击:可通过设置端口和阀值阻断CC攻击;●完善的预防ARP欺骗解决方案;●支持反向地址检查;●支持根据协议或地址,限制连接数目;根据连接数目进行源地址排名。
告警能力支持告警信息分类、分级;当发生安全事件的时候支持以邮件、NETBIOS、声音、SNMP、控制台等方式告警。
管理功能●可以提供多种方式的管理界面,包括GUI、WEBUI、CONSOLE、SSH、TELNET等;●远程集中监控管理功能:支持远程集中管理监控功能,在同一个管理平台下能够对所管理网络中所有的防火墙设备进行管理和监控,提供远程升级和配置变更方法,非常方便用户对防火墙软件版本和配置变更的管理;●支持SNMP 的v1 、v2 、v2c 、v3 等不同版本,并与当前通用的网络管理平台兼容,如HP Openview 等;●支持Netflow●各类资源对象、安全策略可单独导入、导出,可以提供简单方便的配置备份与恢复机制,并且可以恢复到出厂设置;●支持远程TFTP、FTP、HTTP等方式升级。
完善的日志审计功能日志分级、分类;系统要能够提供多种日志存储方式,可以缓存在设备本地,也可以将日志以专用格式/Welf/Syslog等多种日志格式的输出;具有完善的日志收集、传输、存储、分析、报告等解决方案。
完整解决方案防火墙可以内嵌VPN功能模块,并可以提供VPN客户端软件,可方便地建立网关-网关、网关-客户端、客户端-客户端的加密隧道,具有完善的解决方案。
兼容性支持标准IKE,能与市场上主流的基于标准IKE协议的其他 IPSEC VPN设备进行互联、互通。
算法要求提供高加密强度,支持国际主流加密算法和经国密办认证的SCB2算法等。
认证支持基于证书的认证,证书遵循X.509证书体系,可自建CA,也支持第三方CA;支持预共享方式的认证。
网络适用性支持NAT穿越,提供NAT自动发现机制。
支持Cleaned VPN 能对隧道内数据进行病毒查杀和内容过滤。
其它VPN方式得支持允许远程用户通过L2TP/PPTP接入,建立隧道访问内部网络。
支持DDNS 支持DDNS功能,可以在用户的网络环境中没有任何一个合法地址的情况下建立VPN 隧道。
典型应用一:在大型网络中的应用典型应用二:虚拟防火墙应用典型应用三:AA模式双机热备主机订购信息型号图片描述TG-56222U架式结构,最大配置为6个万兆接口+16个千兆接口,默认2个万兆XFP插槽,2个可插拔的扩展槽和2个10/100/1000BASE-T 接口(可作为HA口和管理口);标配双电源TG-5330 TG-5230 TG-5130 2U机型,最大配置为26个接口,包括3个可插拨的扩展槽和2个10/100/1000BASE-T接口(可作为HA口和管理口);另外具有专门的RJ45终端管理接口。
TG-5114 2U机型,4个10/100/1000MBase-T端口,1个扩展槽,可扩展不同子卡,最多可达12端口TG-5030 1U机型,最大配置为26个接口,包括3个可插拨的扩展槽和2个10/100/1000BASE-T接口(可作为HA口和管理口);另外具有专门的RJ45终端管理接口。
TG-5014 1U机型,4个10/100/1000MBase-T端口,1个扩展槽,可扩展不同子卡,最多可达12端口模块订购信息模块订购信息产品型号描述备注TOPSEC-CARD-2X 2端口万兆XFP插槽接口卡TG-5622选配TopSEC-CARD-8S8端口千兆SFP插槽接口卡SFP模块需另配TopSEC-CARD-8A 8个千兆自适应电口无需另配模块TopSEC-CARD-4S4A 4端口千兆SFP插槽接口卡+4个千兆自适应电口SFP模块需另配TopSEC-CARD-2S2A 2端口千兆SFP插槽接口卡+2个千兆自适应电口SFP模块需另配TOPSEC-PWR88-AC 交流冗余电源模块TG-5130、TG-5230、TG-5330选配IPSECVPN-MODULE-UF IPSECVPN扩展模块IPSEC VPN模块;支持无限隧道数,缺省含5个客户端IPSECVPN-VRC-LICENCSEIPSECVPN-VRC-LICENCSE IPSECVPN并发客户端需要安装客户端SSLVPN-MODULE-UF SSLVPN扩展模块SSLVPN模块,最大支持3500并发用户,缺省5个SSLVPN的LicenseSSLVPN-VRC-LICENSE SSLVPN并发客户端不需要安装客户端ANTIVIRUS-MODULE-2Y AV病毒扩展模块防病毒模块;AV与SSL不能同时购买,防病毒模块的升级服务年限最多3年,到期后可再购买服务。